A Trend Micro identificou que após aparente inatividade do Dridex, malware que mira bancos on-line, a ameaça está de volta. Segundo a empresa de segurança, houve aumento repentino em uma campanha de e-mails de spam que afetou principalmente usuários nos Estados Unidos, Brasil, China, Alemanha e Japão.
De acordo com a companhia, existem diferenças significativas dessa campanha em relação às aplicadas anteriormente. Em vez das habituais faturas ou notificações falsas usadas como isca, o Dridex brinca com o medo das pessoas em terem suas contas comprometidas.
Além da mudança nos assuntos de e-mail e do uso macro, o golpe utiliza o Certutil, programa da Microsoft que configura serviços de certificado, faz backup e restaura componentes da autoridade de certificação para passar a ameaça como um certificado legítimo. Esses dois elementos combinados (uso de macros e do Certutil) podem aumentar a prevalência de Dridex e representar desafios para a detecção.
A Trend Micro analisou uma mensagem de e-mail que tem como assunto “Conta Comprometida” e contém detalhes da suposta tentativa de acesso, incluindo o endereço IP para fazer com que pareça legítimo. No entanto, uma brecha foi encontrada. A mensagem não tem qualquer informação sobre que tipo de conta (e-mail, banco, contas de mídia social etc) está comprometida. Esse tipo de notificação normalmente menciona o tipo de conta que um usuário remoto tenta acessar.
A aposta é que os cibercriminosos estão apostando em táticas de intimidação para fazer com que as pessoas abram o arquivo ZIP anexado, que supostamente tem o relatório completo.
Se a vítima for levada a abrir o documento, verá um arquivo em branco instruindo-o a habilitar as funções macro. Isso inicia a cadeia de infecção do Dridex no sistema.
Como se prevenir?
Apesar da prevalência da ameaça, usuários e organizações podem tomar algumas medidas preventivas simples, como não abrir anexos e não habilitar macros quando receber e-mails de fontes desconhecidas. A Trend Micro aconselha que quando o indivíduo receba e-mails sobre contas comprometidas, primeiro confira e verifique a fonte.
As empresas podem também criar políticas que bloqueie e-mail com anexos de fontes desconhecidas. Também é recomendado que organizações eduquem seus funcionários sobre esse tipo de ameaça.
